GOÄ - Abrechnung über externe Stellen und der Datenschutz
GOÄ, Privatliquidation, Medizinrecht, Datenschutzrecht
Stellt die Schweigepflichtsentbindung eine Einwilligung nach der DSGVO dar?
Viele Ärzte:innen lassen sich bei administrativen Tätigkeiten von einem externen privaten Rechenzentrum unterstützen. Hierfür ist grundsätzlich eine Schweigepflichtsentbindung erforderlich.
Doch stellt diese Entbindung von der Schweigepflicht auch eine Einwilligung in die Verarbeitung personenbezogener Daten nach der DSGVO dar? Widerspricht die Verarbeitung von Gesundheitsdaten durch externe Unternehmen dem sog. Kopplungsverbot der DSGVO?
In diesem Artikel wird kurz zusammengefasst über die Rechtslage aufgeklärt und es werden grundsätzliche Handlungsempfehlungen für eine möglichst rechtssichere Datenfreigabe für Ärzte:innen gegeben. Dies kann aber nicht eine individuelle Beratung ersetzen. Sichern Sie sich immer und in jedem Fall individuell rechtlich ab, indem Sie sich professionell und umfassend anwaltlich beraten lassen. Gerne von uns!
Einwilligung in die Verarbeitung personenbezogener Daten
Werden im Rahmen eines Behandlungsvertrags personenbezogene Daten verarbeitet, müssen Patienten:innen dem ausdrücklich zustimmen. Eine solche Einwilligung darf allerdings nicht erzwungen werden, sie muss vielmehr freiwillig erfolgen (§ 4 Abs. 11 DSGVO).
Eine fehlende Einwilligung kann für beide Seiten gravierende Folgen mit sich bringen. Verweigern Patienten:innen die Einwilligung, müssen sie gegebenenfalls in Kauf nehmen, keine ärztliche Untersuchung oder Behandlung zu erhalten. Erfüllt die Datenverarbeitung außerdem nicht die gesetzlich vorgeschriebenen Voraussetzungen, kann das für Ärzte:innen sogar umsatzbezogene Bußgelder nach sich ziehen.
Ärztliche Schweigepflicht
Als Arzt oder Ärztin unterliegen Sie im Rahmen Ihrer Tätigkeit grundsätzlich der ärztlichen Schweigepflicht. Sie sind demnach dazu verpflichtet, über die gesundheitlichen Daten ihrer Patienten:innen Stillschweigen zu bewahren.
Darunter fallen alle Angaben innerhalb von Patientenakten, aber auch weitere persönliche Informationen, die Ihnen unter anderem im Rahmen eines ärztlichen Gesprächs anvertraut werden. Deshalb sollen Patienten:innen vor Behandlungs- oder Untersuchungsbeginn in der Regel eine Einwilligungserklärung in die Entbindung von der ärztlichen Schweigepflicht unterzeichnen, wenn eine externe Abrechnungsstelle mit administrativen Aufgaben betraut werden soll.
Im Übrigen ist die Verletzung der ärztlichen Schweigepflicht in Deutschland unter Strafe gestellt. Wer im Rahmen seiner Berufsverschwiegenheit unbefugt fremde Geheimnisse offenbart, muss unter Umständen mit einer Freiheitsstrafe bis zu einem Jahr oder einer Geldstrafe rechnen (§ 203 Abs. 1 Nr. 1 StGB).
Als Fachanwalt für Medizinrecht und Fachanwalt für Strafrecht bin ich auf medizinstrafrechtliche Fälle spezialisiert und vertrete in diesem Bereich Ärzte:innen sowohl präventiv als auch akut bei laufenden Verfahren. Kommen Sie jederzeit auf mich zu!
Offenbarungsbefugnis bei privaten Rechenzentren
In einigen Fällen sieht das Gesetz allerdings vor, dass bestimmte Daten gegenüber unbeteiligten Personen offenbart werden dürfen. Eine Offenbarungsbefugnis liegt zum Beispiel vor, wenn Sie externe Personen oder Dienstleistungsunternehmen damit beauftragen, zwingend notwendige Aufgaben in Ihrem Praxisbetriebzu übernehmen.
Darunter können zum Beispiel externe Rechnungszentren fallen, die etwa Abrechnungen, das Mahnwesen und das Inkasso für Sie übernehmen. In diesem Fall sind Sie dazu berechtigt, bestimmte Daten offenzulegen, wenn dies für die Durchführung der Dienstleistung zwingend erforderlich ist.
Klartext: Wenn Sie im Praxisbetrieb bestimmte Dienstleistungen auslagern und das rechtlich sauber regeln, dann liegt keine unbefugte Offenbarung von Geheimnissen vor.
Kopplungsverbot nach der DSGVO
In vielen Praxen werden standardisierte Formulare verwendet, in welchen Patienten:innen der Weitergabe ihrer Daten an eine private Abrechnungsstelle und der dortigen Datenverarbeitung zustimmen.
Einige - überwiegend behördliche - Stimmen sehen in dieser Vorgehensweise einen Verstoß gegen das sog. DSGVO-Kopplungsverbot (§ 7 Abs. 4 DSGVO). Danach ist die Einwilligung grundsätzlich beispielsweise nicht freiwillig erfolgt, wenn Weitergabe personenbezogener Daten, die verarbeitet werden sollen, für die Vertragserfüllung grundsätzlich nicht erforderlich sind und die Vertragserfüllung von der Einwilligung in die Datenweitergabe und dortigen Datenverarbeitung abhängig gemacht wird.
Ziel dieser Vorschrift ist es zum einen, die Erhebung von Daten auf ein Minimum zu beschränken und somit einer pauschalen Datenverarbeitung entgegenzuwirken. Zum anderen sollen Betroffene eine Wahlfreiheithaben und selbst entscheiden, in welchem Umfang ihre personenbezogenen Daten verarbeitet werden.
Ohne die Datenweitergabe an eine private Abrechnungsstelle und die dortige Datenverarbeitung sind Ärzte:innen oftmals allerdings nicht mehr in der Lage, den eigenen Praxisbetrieb aufrecht zu halten. Die Weitergabe von Patientendaten kann in diesem Fall eine Grundvoraussetzung für die Funktionsfähigkeitdes Praxisbetriebs sein. Demnach handelt es sich hierbei gerade um die Weitergabe personenbezogene Daten, die für die Vertragserfüllung zwingend erforderlich sind.
Aus diesem Grund liegt dann auch hier kein Verstoß gegen das DSGVO-Kopplungsverbot vor. Dennoch gibt es Stellen, die das anders sehen und nonchalant die Ansicht vertreten, dass die Abrechnung im Zweifel immer in der Praxis selbst erfolgen kann.
Klartext: Wenn Sie ein privates Rechenzentrum mit der Wahrnehmung administrativer Aufgaben beauftragen, führt dies entgegen der Ansicht einiger Stellen nicht zwingend zu einem Verstoß gegen das datenschutzrechtliche Kopplungsverbot. Sie begehen grundsätzlich keine datenschutzrechtlichen Verstöße, wenn Sie ein privates Rechenzentrum beauftragen - auch wenn das insbesondere im Hinblick auf das datenschutzrechtliche Kopplungsverbot behördlich teilweise anders gesehen wird.
Sie sind auf der Suche nach rechtlicher Unterstützung? Kontaktieren Sie mich jederzeit für ein anwaltliches Beratungsgespräch zum Medizinrecht. Hier konnte ich schon viele Ärzte:innen bundesweit erfolgreich vertreten und verteidigen!
Geheimhaltungsvereinbarung
Stellen Sie sicher, dass die Datenverarbeitung den gesetzlichen Vorgaben entspricht und Gesundheitsdaten nicht unbefugt an Dritte weitergegeben werden. Wenn Sie hier leichtfertig handeln, riskieren Sie eine Freiheitsstrafe bis zu einem Jahr oder eine Geldstrafe (§ 203 Abs. 4 S. 2 Nr. 1 StGB).
Mithilfe eines ergänzenden Vertrages zur Auftragsdatenverarbeitung minimieren Sie dieses rechtliche Risiko. Beschränken Sie zum Beispiel die Verarbeitung personenbezogener Daten Ihrer Patienten:innen auf das nötigste Minimum. Dadurch vermeiden Sie, dass mitwirkende Personen mehr Einsicht in Patientenakten erhalten, als für die Auftragsdurchführung notwendig ist. Gerne unterstütze ich Sie bei der Erstellung eines individuellen, rechtssicheren DSGVO-Vertrags und einer Geheimhaltungsvereinbarung.
Darüber hinaus kann eine solche Geheimhaltungsvereinbarung im Rahmen einer späteren behördlichen Prüfung oder vor Gericht von Bedeutung sein. Bewahren Sie diese Unterlagen daher zu Beweiszwecken möglichst sorgfältig auf.
Oftmals sind standardisierte Vorlagen fehlerhaft. Prüfen Sie diese stets eingehend für ihren individuellen Fall.
Sie haben weitere Fragen? Gerne unterstütze ich Sie in allen medizinrechtlichen Fragen im Rahmen einer unverbindlichen Erstberatung.
Weitere interessante Beiträge
Wir sind für Sie erreichbar.
Vereinbaren Sie 24/7 einen Termin.
ADVOCTRL Rechtsanwalts-gesellschaft mbH
Thierschstraße 27, 80538 München